專門攻擊企業系統的 PowerGhost 無檔案式惡意程式

根據資安研究人員指出,日前出現了一個無檔案式虛擬加密貨幣挖礦惡意程式,專門攻擊企業的伺服器和電腦。這個名為 PowerGhost 的惡意程式 (趨勢科技命名為 TROJ_BLUTEAL.DDDOS_NITOL.SMCCoinminer_CryptoNight.SM-WIN64) 會運用 Powershell 腳本執行工具和 EternalBlue 漏洞攻擊來暗中將自己散布到企業網路上的電腦和伺服器。此外,此惡意程式還能讓駭客發動分散式阻斷服務攻擊 (DDoS)攻擊。

PowerGhost 會使用正常的軟體工具,例如 Windows Management Instrumentation (WMI),並且利用加密編碼的 Powershell 腳本來感染系統,腳本內含有挖礦程式的核心程式碼與模組。此腳本會下載挖礦程式 「mimikatz」以及用來啟動挖礦程式的程式庫「msvcp120.dll」和「msvcr120.dll」,還有 EternalBlue 漏洞攻擊程式碼 (shellcode) 以及一個 Reflective PE 注入模組 (用來從記憶體內直接執行程式)。

此 Powershell 腳本不會寫入硬碟,執行時會連上歹徒的幕後操縱 (C&C) 伺服器來更新至最新版本,並且在過程當中使用 mimikatz 來取得被感染系統的使用者帳號相關資訊。它會利用 WMI 和 EternalBlue 在區域網路內不斷散布自己,並且利用 32 和 64 位元系統漏洞 (MS16-032MS15-051CVE-2018-8120) 來提升其在受害系統的使用者權限。PowerGhost 將所有的模組都儲存成一個 WMI 類別 (class),每隔 90 分鐘就會執行一個只有一行程式碼的 Powershell 腳本以維持運作,並且會利用 Reflective PE 注入手法來啟動挖礦程式。此惡意程式還有一個變種內含一個用來執行 DDoS 攻擊的工具,它可偵測像沙盒模擬環境這類的虛擬環境。研究人員認為,歹徒之所以加入這個程式,應該是希望藉由提供 DDoS 攻擊服務來開拓額外收入來源。

[延伸閱讀:虛擬加密貨幣挖礦程式使用 WMI 和 EternalBlue 並以無檔案方式散布]

針對上述威脅,我們建議企業採取以下方法來保護自己:

  • 定期從原廠更新自己的軟體和韌體。對於還在使用一些老舊系統的企業,可採用虛擬修補的方式來保護系統。
  • 必要時,可管制或停用 WMI 功能,並限制只開放給 IT 系統管理員使用。由於並非所有電腦都需要 WMI 服務,如此可減少 WMI 遭駭客利用的風險。

 

趨勢科技 Smart Protection Suites具備高準度機器學習、網站信譽評等、行為監控、應用程式控管以及漏洞防護等功能,可有效降低這項威脅。趨勢科技 Endpoint Sensor也能有效監控 WMI 相關的活動,讓您迅速查看那些執行程序或事件觸發了惡意活動。趨勢科技進階網路安全防護 能夠偵測、深入分析並主動回應漏洞攻擊以及其他類似威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測這類攻擊。

 

原文出處:Fileless Malware PowerGhost Targets Corporate Systems